Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Дом
Aug 27, 2023
Почему малому бизнесу нужны тесты на проникновение
Don Lupejkis is a Solution Architect with CDW’s InfoSec Security team. His passion is helping organizations on their journey to a more secure environment. Christine Prisco is a Program Manager for
Дон Лупейкис — архитектор решений в команде CDW InfoSec Security. Его страсть — помогать организациям на пути к более безопасной среде.
Кристин Приско — менеджер программы CDW по управлению продуктами и партнерами. Она работает с решениями в области кибербезопасности, чтобы совершенствовать продукты, услуги и инициативы, чтобы лучше удовлетворять потребности наших клиентов.
Тестирование на проникновение — жизненно важная отправная точка для стратегии кибербезопасности каждой организации. Пен-тесты помогают компаниям выявить уязвимости сети и предоставить рекомендации по их устранению.
Одной из задач является обеспечение того, чтобы тесты охватывали достаточную территорию для выявления ключевых уязвимых областей. Другой вариант — получить от партнера по тестированию подробный и простой для понимания отчет.
Когда компания осознает необходимость проведения теста на проникновение, но не получает необходимых результатов, она не получает никакой выгоды от проведения теста. Это немного похоже на прохождение инвазивного медицинского осмотра только для того, чтобы получить диагноз на иностранном языке.
Чтобы избежать такой участи, вот что вам следует знать о том, как максимально эффективно использовать тест на проникновение и как найти подходящего партнера по тестированию на проникновение.
Нажмите на баннерчтобы ознакомиться со списком влиятельных лиц в сфере ИТ для малого бизнеса по версии BizTech.
Тест на проникновение — это оценка безопасности сети. В тесте на проникновение, проводимом третьей стороной, участвует сертифицированный этический хакер, который пытается взломать внутренние или внешние бизнес-сети (в зависимости от типа проводимого теста), чтобы выявить потенциальные точки компрометации.
Тестировщиков на проникновение учат думать как хакеры, и они используют те же методы, что и их злонамеренные коллеги. Эта концепция аналогична защите вашего дома: чтобы защитить свой дом от взлома, вам может понадобиться совет человека, имеющего опыт взлома домов.
Это потому, что есть разница между попыткой предотвратить нападение и поиском слабых мест. То, что может показаться безопасным, на самом деле может оказаться уязвимым — все дело в подходе.
Когда дело доходит до тестирования на проникновение, распространены два заблуждения.
Во-первых, пен-тесты дают практически одни и те же результаты, независимо от того, кто их проводит. Но опыт тестировщиков имеет большое значение в том, как они подходят к сетевым атакам и что они находят.
Во-вторых, хороших пентестеров вполне достаточно. Реальность такова, что даже тестирование высшего уровня не улучшит защиту, если оно не будет сопровождаться подробными отчетами. Крайне важно, чтобы тестировщики подробно описывали все, что они делают, поскольку компаниям необходимо знать, что было протестировано, как это было протестировано и где это не удалось.
РАСПАКОВАТЬ:Узнайте, как ИТ-руководители переосмысливают свою инфраструктуру кибербезопасности.
Дон Лупейкис Архитектор решений, CDW
Существует несколько распространенных типов пен-тестов, каждый из которых имеет свою цель:
ОБНАРУЖИТЬ:Что малому бизнесу нужно знать о киберстраховании.
Для многих компаний проведение полного теста на проникновение один раз в год является разумной целью, основанной на бюджетных ресурсах и временных ограничениях. Если возможно, рекомендуется каждые шесть месяцев или даже ежеквартально.
Однако во многих случаях даже ежегодные тесты на проникновение не проводятся. Как сообщает TechRepublic, одной из проблем является бюджет: каждая третья компания называет деньги причиной не проводить тесты чаще. Некоторые организации могут подумать: если что-то не сломано, то не стоит это чинить. Но хотя слабые сети на первый взгляд могут и не выглядеть сломанными, во многих из них появляются трещины даже при малейшем давлении.
Наконец, по-прежнему существует широко распространенная обеспокоенность по поводу неопределенности в области безопасности; многие компании не хотят выглядеть так, будто они не знают, что делают. Проблема здесь в том, что отказ от тестов на проникновение, поскольку они могут выявить неизвестные проблемы, не решает проблему, а просто держит компании в неведении.
Кристин Приско, менеджер программ, CDW